Ezért az Apple Pay a fizetés jövője

|

Sok kérdést vet fel az Apple mobilfizetési rendszere, de a biztonsága miatt kicsit sem kell aggódni.

Az Apple Pay mobilfizetési rendszerére sajnos Európában még várni kell egy darabig, de az amerikaiak már idén fejest ugorhatnak az iPhone-nal való fizetésbe (jövőre pedig egyből megy a rendszer az Apple Watch-csal is). Természetesen elsőre mindenkiben az a kérdés merül fel: rá merjem bízni a bankkártyám adatait az Apple-re

Hirdetés

Az igazság az, hogy az Apple Pay talán a legbiztonságosabb mobilfizetési platform, ami csak létezik. A miértet a működésben kell keresni, de persze az igazán részletes technikai információkra talán soha nem tudunk fényt deríteni, értelemszerűen biztonsági okokból. Amit viszont eddig már tudni lehet az Apple Payről, az meglehetősen biztató - és itt nem a kényelmére gondolunk, hanem a biztonságára. 

 

A kártyaadatokról senki sem tud - token van helyette

Az Apple Payjel még titkosított formában sem tárolják a bankkártyánk adatait az iPhone-on vagy az Apple szerverein. Így értelemszerűen a kereskedő szervereire sem lesznek ezek továbbítva. Amikor valaki feliratkozik az itunesos kártyájával vagy egy újjal az Apple Payre, akkor a kártyaadatokat egyből titkosítják, és a kártyakezelő hálózatnak küldik el. Ha az információk hitelesek, akkor az eszközünkre már csak egy tokent kapunk vissza, amit persze a Secure Element biztonságos tárolási módszerrel ment az iPhone. A valódi kártyaszám helyett az Apple ezt a tokent alkalmazza a fizetések során, ami gyakorlatilag egy egyedi eszközazonosító szám. 

 

Csak egy ujjlenyomat kell

 

Maga a token az Apple Pay esetében egy random módon generált, 16 számjegyű egyedi sorozat. Bár hasonlít egy bankkártya számára, önmagában semmit sem ér, és nem is dekódolható, mivel a generálási folyamat eleve nem titkosításra épül és nem megfordítható. Mindössze annyi köze van az eredeti kártyaszámhoz, hogy az utolsó négy számjegy egyezik - amint a véletlenszerű tokent egyszer kibocsátották, onnantól kizárólag a kártya gyártója tudja visszaazonosítani a tokent. Bár a tokenekkel egyetlen hacker sem tud mit kezdeni ezek miatt, a plusz biztonsági intézkedések azt is megoldották, hogy egy adott token egy konkrét eszközhöz legyen kötve. 

 

Az Apple Pay működése

Amikor tranzakciót kezdeményezünk, az iPhone elküldi a tokent a kereskedőnek, aki pedig továbbítja a kártyakibocsátónak azt. A kártya gyártója azonosítja a tokent, és így az eredeti bankkártyát. A kibocsátó felveszi a kapcsolatot a pénzintézettel az engedélyezés miatt, majd ha azt jóváhagyták, akkor a bank válaszüzenetet küld a kereskedőnek: a tranzakció mehet. Ez a folyamat biztonságosabb a hagyományos bankkártyás fizetésnél, mivel a kereskedők soha nem kapnak adatokat, kizárólag tokeneket. 

Egy ilyen rendszerrel az adatszivárgások miatt sem kell aggódni - emlékezetes például a Target idei botránya, amiben rengeteg vásárló kártyaadatait lopták el. A tokeneknek hála egyszerűen nem lenne mit. Ez azonban csak az egyik része az Apple Pay biztonsági pillérjeinek. 

 

Elég lesz odatartani

 

Touch ID és kriptogramok

A tokenalapú tranzakcióhoz valamilyen formában személyes engedélyezésre is szükség van. Itt jön a képbe az egyszerűen működő Touch ID, vagyis az Apple ujjlenyomat-olvasó szolgáltatása. Mivel statikus PIN-kódot ilyenkor nem lehet használni, ezért megoldották az egyszerhasználatos jelszavak kikerülését. Ehelyett a fizetést a Touch ID-n, ujjlenyomattal lehet jóváhagyni. 

Az ujjlenyomat érzékelése után azonban nem csak egy token távozik az iPhone-ról, hanem egy dinamikusan generált CVV is, egy kriptogram társaságában. A CVV alapesetben egy három számjegyből álló sor a kártya hátulján, az Apple Paynél pedig egy algoritmus alapján generált számsor a tokenhez. A kriptogram pedig magát a készüléket azonosítja egyedileg, ami a tokent gyártotta. Ebben titkosított adatok találhatóak a tokenről, a készülékről és az adott tranzakció adatairól is. A konkrét receptet persze az Apple nem árulja el. 

Az Apple Pay azért is lesz ezektől nagyon biztonságos, mert a kriptogramok egyszerhasználatos digitális aláírások, amelyek mindössze a tokent és a küldő eszközt hitelesítik, valamint visszaigazolják a fizetés adatait a kereskedőnél. A tokenek ezek nélkül nem működnek, illetve azt is garantálják, hogy eltérő eszközről se lehessen kezdeményezni a fizetést. Mindezt pedig nem csak az Apple tartja biztonságosnak, hanem a vezető kártyakibocsátók legnagyobb szakértői és ügyvezetői is úgy gondolják, hatalmas előrelépés ez a ma használt megoldások után - és messze a legbiztonságosabb, ami létezik. Erről ráadásul meg is bizonyosodhattak, hiszen az Apple Pay fejlesztése a nagy kártyacégeknek és a vezető bankoknak is köszönhető az almás vállalat mellett. 

 

A kereskedő semmit nem kap rólunk

 

Mit jelent ez nekünk?

Mire kiderül, hogy a gyakorlatban mekkora siker az Apple Pay, addigra minden bizonnyal eltelik pár hónap, esetleg egy év. Annyi viszont bizonyos, hogy a rendszer a jelenlegi legbiztonságosabb fizetési forma a maga kategóriájában, és a szakértők szerint is messze lekörözi a ma használt kártyaalapú megoldásokat. 

A kereskedők gyakorlatilag nem kapnak semmi információt rólunk, így ha fel is törik a hálózatukat, akkor sem kell aggódnunk. A készülék által kiküldött tokenek és a titkosított kriptogramok szintén a mi oldalunkról gondoskodnak a biztonságról. Amennyiben valaki ellopná az iPhone-t, vagy az eltűnne a kanapé mögé, a megkerülésig az Apple Payben felfüggeszthető vagy törölhető a kapott token, ezáltal működésképtelenné téve a szolgáltatást. 

Miközben az Apple Pay tehát látszólag egy érintés vagy egy ujjlenyomat, és oda a pénzünk, a háttérben nagyon komplex és elképesztően biztonságos eljárások szavatolják, hogy soha ne legyen veszélyben a pénzünk. Ráadásul még a bankok és a kártyakibocsátók is meg vannak érte őrülve

Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://pcworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.